SCADADocumento elaborado a partir del libro: “INDUSTRIAL

AUTOMATION WITH SCADA – Concepts, Communications an

Security” de K S Manoj Notion Press, 2019

7. SEGURIDAD EN LOS SISTEMAS DE

CONTROL INDUSTRIAL

7.1
INTRODUCCIÓN
Hoy en día es un hecho que las redes SCADA se han convertido
en un componente integral del entorno industrial moderno para
vigilar y analizar datos en tiempo real, controlar los procesos
industriales tanto locales como remotos, interactuar con
diversos dispositivos de campo y mantener registros y eventos
para el análisis, la auditoría y otros fines. Para que la red
SCADA funcione de manera segura en un entorno industrial, la
transferencia segura de datos es una necesidad cada vez
mayor de la época. El surgimiento de las amenazas extremistas
a las infraestructuras críticas de muchas naciones ha hecho
que los sistemas SCADA dejen de ser entidades ocultas y
desconocidas que trabajan en secreto para controlar las
operaciones industriales y comerciales. Otros sistemas SCADA
y redes de control industrial se están convirtiendo en objetivos
críticos para individuos malintencionados, naciones agresivas,
grupos terroristas, hackers curiosos y competidores de otras
organizaciones. Este capítulo explora las vulnerabilidades y
riesgos asociados con los sistemas SCADA, la mentalidad
cambiante de los usuarios de la red SCADA, las rutas de
ataque a los componentes de SCADA y las acciones
potenciales que se pueden tomar contra las plantas que
emplean la tecnología SCADA. El capítulo concluye con un
análisis de una nueva aplicación de los honeypots y las
honeynets para proteger
los sistemas SCADA y captar información pertinente sobre los
enfoques y métodos de los atacantes que pueden utilizarse para
desarrollar controles de seguridad SCADA más eficaces.

7.2 LA SEGURIDAD DE IT Y LA SEGURIDAD

DEL SCADA
El presente frente de guerra describe el ciberespacio como la red
interdependiente de infraestructura de tecnología de la
información, que incluye la Internet, las redes de
telecomunicaciones, los sistemas informáticos, los procesadores
incorporados y los controladores de procesos/plantas de
industrias fundamentales. Hoy en día, este ciberespacio
interdependiente es un componente crucial de la infraestructura
crítica nacional y requiere medidas de protección distintas. El
ciberespacio se utiliza para intercambiar información, comprar y
vender productos y servicios, y permitir muchas transacciones en
línea en una amplia gama de sectores, tanto a nivel nacional
como internacional. Esto requiere un ciberespacio seguro, pues
de lo contrario repercutirá en la salud de la economía y la
seguridad de cualquier nación. Por lo tanto, para proteger las
infraestructuras de información críticas de la Nación, de riesgos
como el fraude en línea, el robo de identidad y el mal uso de la
información en línea, se debe implementar con sumo cuidado
una política de seguridad cibernética bien definida con un plan
de mitigación efectivo de acuerdo con la seguridad de la
organización. Hoy en día, el rápido crecimiento y la amalgama
de las TIC en el SCADA y la interdependencia social trajeron un
cambio de paradigma en la percepción de las amenazas a la
Infraestructura de Información Crítica. Como consecuencia, hoy
en día la seguridad cibernética se está convirtiendo en un
programa global que debe ser abordado de forma colectiva.
Estas crecientes amenazas a la seguridad, a nivel del individuo,
las empresas, el gobierno y las infraestructuras críticas, hacen
que la seguridad sea esencialmente responsabilidad de todos.
Por lo tanto, es importante comprender y estar familiarizado con
la
magnitud de los desafíos que cambian rápidamente. La
automatización moderna depende principalmente de la
tecnología SCADA y el requisito de seguridad del SCADA es
bastante diferente de la seguridad de la TI, ya que implica
procesos u operaciones de misión crítica. A continuación, se
describe brevemente la diferencia básica entre la seguridad de
la TI y la seguridad del SCADA. Generalmente en los sistemas
SCADA, o ICS, cualquier ejecución lógica dentro del sistema,
tiene un impacto directo en el mundo físico. Esto exige
operaciones seguras en el campo o en los equipos de la planta.
Al estar los dispositivos de campo en primera línea y afectar
directamente a las vidas humanas y al medioambiente, los
dispositivos de campo en los sistemas SCADA no son de
ninguna manera inferiores a los hosts centrales. Ciertos
sistemas operativos y aplicaciones que se ejecutan en los
sistemas SCADA, que no son convencionales y son propiedad
del personal de TI, pueden no funcionar correctamente con las
soluciones de seguridad cibernética de TI comerciales.
Además, factores como la demanda de disponibilidad continua,
la importancia crítica del tiempo, la limitación de los recursos de
computación en los dispositivos de frontera, la gran base física,
la amplia interfaz entre las señales digitales y analógicas, la
aceptación social, incluida la eficacia en función de los costos y
la reticencia de los usuarios a cambiar, los problemas
heredados, etc., hacen que el sistema SCADA sea muy
complejo para que sea seguro. Los sistemas SCADA anfitriones
operan en tiempo real y la finalización de una operación
después de su fecha límite puede ser inútil y puede
potencialmente causar un efecto en cascada en el mundo
físico. Los plazos operacionales desde el comando hasta la
respuesta del sistema, se imponen con rigurosas restricciones,
ya que el incumplimiento de un plazo puede causar un fallo
completo del sistema. Por lo tanto, la latencia es
extremadamente importante y puede ser destructiva para el
rendimiento del sistema SCADA. Si el sistema no reacciona
dentro de
un determinado plazo causaría grandes pérdidas de seguridad,
como el daño a las cercanías o la amenaza a las vidas humanas.
No es la duración del marco temporal, sino el hecho de que se
cumpla o no el plazo lo que distingue al sistema en tiempo real
duro de los sistemas en tiempo real suave. Los sistemas de
tiempo real suaves, pueden tolerar cierta latencia y responder
con una calidad de servicio disminuida. La violación no mayor de
las limitaciones de tiempo en los sistemas de tiempo real blandos
conduce a la degradación de la calidad más que al fallo del
sistema. Además, debido a la naturaleza física, a menudo es
necesario interrumpir y reiniciar las tareas realizadas por el
sistema SCADA y los procesos dentro de cada tarea. El aspecto
temporal y las interrupciones de las tareas pueden impedir el uso
de los algoritmos convencionales de bloque de cifrado. Con el
sistema operativo en tiempo real (RTOS), la vulnerabilidad del
SCADA también se debe a que la asignación de memoria es más
crítica en un RTOS que en otros sistemas operativos. Además,
muchos dispositivos de campo utilizados en el SCADA hoy en
día son sistemas incorporados y funcionan durante años sin
reiniciarse, lo que acumula fragmentación. Por lo tanto, el
desbordamiento del búfer es más problemático en el SCADA que
en la TI tradicional.

7.3 DEFINICIONES DE
SEGURIDAD
Los ingenieros de automatización a menudo utilizan algunos
términos de seguridad cibernética: vulnerabilidad, amenaza,
riesgo, etc. Sin embargo, muy pocos usan esos términos en el
sentido correcto, comprendiendo el significado correcto y las
relaciones entre ellos. A continuación, se explican brevemente
algunos de los términos de importancia de la ciberseguridad.
Vulnerabilidad: Es una debilidad en un sistema SCADA para
una contramedida y podría ser explotada por una amenaza.
Puede ser
una debilidad de software, hardware, de procedimiento o
humana que puede ser explotada. Amenaza: Es cualquier
potencial de impacto destructivo en un sistema SCADA que
esté asociado con la explotación de una vulnerabilidad. La
amenaza es que alguien, o algo, identifique una vulnerabilidad
específica y la utilice contra la empresa o un individuo. La
entidad que se aprovecha de una vulnerabilidad se denomina
agente de amenaza. Un agente de amenaza podría ser un
intruso que accede a la red a través de un puerto del
cortafuegos, un proceso que accede a los datos de una manera
que viola la política de seguridad, o un empleado que comete
un error accidental que podría exponer información
confidencial. Riesgo: Es la probabilidad de que una amenaza
específica explote una vulnerabilidad y el consiguiente impacto
o daño al sistema SCADA. Si un cortafuegos tiene varios
puertos abiertos, existe una mayor probabilidad de que un
intruso acceda a la red con un método no autorizado.
Exposición: Es un caso de exposición a pérdidas. La
vulnerabilidad expone a una organización a posibles daños. Si
la gestión de contraseñas es laxa y no se aplican las reglas de
contraseñas, la empresa está expuesta a la posibilidad de que
se capturen las contraseñas de los usuarios y se utilicen de
forma no autorizada. Si una empresa no hace inspeccionar su
cableado y no pone en práctica medidas proactivas de
prevención de incendios, se expone a posibles daños por
incendios devastadores. Control o contramedida: Se pone en
práctica para mitigar (reducir) el riesgo potencial. Una
contramedida puede ser una configuración de software, un
dispositivo de hardware o un procedimiento que elimine la
vulnerabilidad o que reduzca la probabilidad de que un agente
de amenaza pueda explotar una vulnerabilidad. Entre los
ejemplos de contramedidas cabe citar: una sólida gestión de
contraseñas, cortafuegos, un guardia de seguridad,
mecanismos de control de acceso, cifrado y capacitación en
materia de seguridad. Salvaguardia: Una contramedida o
control de seguridad diseñada para reducir el riesgo asociado a
una amenaza específica. Impacto: El efecto o consecuencia de
una amenaza realizada contra un sistema SCADA. Si los
usuarios no conocen los procesos y procedimientos, es
probable que un empleado cometa un error involuntario que
puede destruir los datos. Si un Sistema de Detección de
Intrusos (IDS) está ausente en una red, la probabilidad de
ataque es muy alta. El riesgo vincula la vulnerabilidad, la
amenaza y la probabilidad de explotación con el impacto
comercial resultante.

7.4 GESTIÓN DEL

RIESGO
Los conceptos fundamentales de la gestión del riesgo en el
ámbito de la seguridad de la información también pueden
aplicarse eficazmente a la seguridad de los sistemas SCADA.
Los conceptos básicos de gestión de riesgos utilizados para
reducir los riesgos en los sistemas SCADA están
fundamentalmente diseñados para reducir los efectos adversos
de las amenazas que se materializan y que explotan las
vulnerabilidades inherentes a los sistemas SCADA. Ello supone
evaluar el riesgo, mitigarlo y luego evaluar continuamente los
riesgos del sistema. Evaluación del riesgo: La identificación
de los riesgos es vital para cualquier empresa, pero algunos
riesgos son cruciales para ciertas empresas y pueden ser más
vulnerables a algunas amenazas que a otras. Esos riesgos
deben identificarse, evaluarse y resolverse. De lo contrario, es
probable que los recursos y el esfuerzo que se dediquen a las
amenazas afecten a la empresa y puedan resultar desastrosos.
Priorizar el riesgo: Si bien el panorama de las amenazas
cambia constantemente y plantea otras nuevas, no es eficaz
limitarse a
observar los posibles ataques que podrían llegar desde el
exterior, sino que es vital mirar también hacia dentro. La gestión
de riesgos pone de relieve dónde reside el mayor riesgo en la
organización y le permite protegerla en consecuencia. Sin este
paso clave en la gestión de riesgos, las empresas se estarían
defendiendo ciegamente a pesar de sus valiosos activos.
Mitigación del riesgo: La imperfección humana suele ser la
causa de graves problemas de ciberseguridad, por lo que el
olvido y el descuido les cuestan a las organizaciones valiosos
activos. Por lo tanto, la sensibilización dentro de la organización
es el primer paso para mitigar el riesgo de manera extensiva.
Esto podría incluir la educación del personal sobre los ataques
de phishing, y el mantenerse al día sobre la aplicación de
parches, etc. puede prevenir en gran medida los incidentes
cibernéticos importantes. Alinear el riesgo y la estrategia:
Una integración adecuada de la gestión de riesgos en la
estrategia empresarial de la organización permite un enfoque
flexible para proteger a la empresa mediante la puesta en
marcha de los procesos necesarios. Como resultado,
independientemente de los cambios en la estrategia y los
enfoques, la gestión de riesgos de la ciberseguridad nunca se
separa y los puntos débiles no quedan expuestos porque el
sistema es integral. Una razón crucial para esta flexibilidad es
seguir siendo formidable frente al panorama de amenazas cada
vez más formidables. La situación ya no es un juego
bidimensional de muros y escudos alrededor de una empresa,
sino que el enfoque de la seguridad debe ser capaz de
adaptarse para encajar en todo momento. Capacitación de los
empleados: Una gestión de riesgos exitosa sin una formación
adecuada de los empleados es imposible. Dado que la
naturaleza humana nunca puede hacerse fiable en un 100%, la
exposición del personal al conocimiento de los procedimientos
correctos también contribuirá a la mitigación general de los
riesgos. Con un gran número de personas que entran en la red
de una
organización utilizando un número récord de dispositivos
diferentes, es imperativo que el personal se responsabilice con
lo que se les permite para cruzar el umbral digital.

7.5 FUENTES DE AMENAZA DE

SCADA
Como se ha explicado anteriormente, una "amenaza es
cualquier persona, circunstancia o acontecimiento que pueda
causar pérdidas o daños, y la vulnerabilidad es cualquier
debilidad que pueda ser explotada por un oponente". Ambas se
evalúan sobre la base de las consecuencias y la cantidad de
pérdidas o daños ocurridos a raíz de un ataque exitoso. El
SCADA y el SCI modernos son sistemas ciber físicos típicos,
que integran estrechamente un proceso o planta física con el
proceso cibernético de computación y comunicación en red a
todas las escalas y niveles. Obviamente es susceptible a las
amenazas y vulnerabilidades cibernéticas y puede ser
explotado por diferentes grupos de ataque. Se clasifican
principalmente de la siguiente manera. 1. Amenaza de los
Crackers: que irrumpen en los ordenadores con fines de lucro o
para presumir de sus derechos. Internet aumenta la
disponibilidad de las herramientas de los hackers junto con la
información sobre las infraestructuras y los sistemas de control,
2. Amenazas de secuestro: La aparición de un fuerte motivo
financiero para que los ciberdelincuentes exploten las
vulnaridades, 3. Amenaza de Insiders: que interrumpen su red
corporativa, a veces un accidente, a menudo por venganza, 4.
Amenaza de terroristas: que atacan los sistemas por causa o
ideología, y 5. Amenaza de países hostiles: Atacar las
computadoras de los países enemigos.
7.6 VULNERABILIDADES, AMENAZAS Y
ATAQUES DE SCADA Y SMART GRID
Con la integración de las TIC, la transición a una red eléctrica
más inteligente es muy optimista y prometedora. Los principales
puntos que conducen a la Red Inteligente vulnerable a los
ciberataques se describen brevemente a continuación. 1.
Comunicación bidireccional: Aunque las comunicaciones
bidireccionales proporcionan grandes beneficios a la
organización y al cliente al dar la capacidad de comunicar y
compartir información, hace que el sistema sea vulnerable a los
ciberataques. 2. Privacidad de los datos del cliente: La
información compartida a través de la Red Inteligente es
intrínsecamente sensible, requiere un alto nivel de privacidad y
seguridad personal. 3. AMI: Varios fabricantes proporcionan
dispositivos con diferentes características de seguridad con
diferentes niveles de seguridad incorporados, lo que hace que
sea un reto estandarizar las prácticas de seguridad. 4.
Conectividad distribuida: Los medidores inteligentes son una
parte de la NAN en la Red Inteligente que no está confinada a
un área geográfica específica. Por lo tanto, los límites de la red
se expandirán y serán más difíciles de asegurar. 5.
Autenticación y controles de acceso: A medida que el número
de clientes, proveedores y contratistas aumenta, se hace difícil
acceder a la red, lo que podría resultar en el robo de identidad.
6. Capacitación y concienciación adecuadas de los empleados:
Sin una formación y concienciación adecuadas, hay
posibilidades de que aumenten las amenazas y los errores
internos. 7. Directrices, normas e interoperabilidad: Esto puede
plantear la posibilidad de lagunas en la visibilidad, la defensa y
la recuperación.
Estas amenazas son tan reales que muchas naciones han
declarado su infraestructura digital como activo estratégico y
han hecho de la seguridad cibernética una prioridad de
seguridad nacional. Están estableciendo políticas de seguridad
para obligar a las empresas de energía eléctrica a ser
responsables de la protección de la infraestructura eléctrica
crítica. Muchas naciones confiaron a sus agencias secretas la
vigilancia de los hackers que intentan infiltrarse en el sector
eléctrico. Pero la regulación y la presión del gobierno no serán
suficientes. Por lo tanto, las empresas de servicios públicos
tienen que tomar medidas espontáneas y significativas para
asegurar sus redes. Las técnicas que los atacantes utilizan para
obtener el control de un SCADA o causar diferentes niveles de
daño son en su mayoría similares a las del caso de la IT. Pero
también poseen ciertas técnicas explícitas y algunas de las
técnicas utilizadas se describen brevemente a continuación. 1.
Difusión de Malwares: Los malwares desarrollados por un
atacante pueden propagarse para infectar el AMI, o los
servidores del centro de control o los servidores corporativos de
las empresas de servicios públicos. El malware puede
reemplazar o alterar las funciones del dispositivo o de un
sistema, incluyendo el envío de información falsa y sensible. 2.
Entrada por la puerta trasera a través de dispositivos de
comunicación: Un ciber-atacante puede comprometer algunos
de los dispositivos de comunicación como módems, routers,
etc. e infiltrarse en el sistema usándolo como puerta trasera
para lanzar futuros ataques. 3. Acceder y manipular la base de
datos: Todos los eventos y datos SCADA se almacenan en una
base de datos en la red de servidores del centro de control y
luego reflejan los registros en la red de la empresa. Si los
sistemas de administración de la base de datos no están
configurados adecuadamente, un hábil ciber-atacante puede
acceder a la base de datos de la red empresarial, y luego
explotar la red del sistema de control. 4. Inyección de datos
falsos: Un atacante puede enviar paquetes de información
falsos a la red, como datos de medidores inteligentes
equivocados, tarifas de precios falsas, eventos de emergencia
falsos, etc. La información falsa puede tener un enorme impacto
financiero en los mercados eléctricos. Este tipo de tecnología
de ataque está avanzando mucho más rápido que los parches
de seguridad para controlarlo. Por lo tanto, es muy importante
que los aspectos de seguridad del nodo terminal de la Red
Inteligente, especialmente el medidor inteligente, aseguren que
tiene capacidades de comunicación que cumplen con todos los
criterios básicos de integridad y confidencialidad.
Desafortunadamente, los medidores inteligentes de hoy en día
no cumplen con la protección requerida contra la inyección de
datos falsos. Estos hechos resaltan problemas potenciales
mucho más grandes con la integridad de los datos en toda la
infraestructura de la red inteligente. 5. ataque DoS a la
disponibilidad de la red: Los ataques DoS pueden intentar
retrasar, bloquear o corromper la transmisión de información
para hacer que los recursos de la red inteligente no estén
disponibles. Como la red inteligente utiliza el protocolo IP y la
pila TCP/IP, queda sujeta a todas las vulnerabilidades
inherentes a la pila TCP/IP y, por lo tanto, a los ataques DoS. 6.
Problema de seguridad de Modbus: El protocolo Modbus se
utiliza ampliamente en el sistema SCADA de energía,
especialmente para la comunicación entre los IED y los RTUs.
Por lo tanto, todos los problemas de seguridad Modbus son
aplicables al sistema SCADA o a todos los procesos basados
en instalaciones como la Red Inteligente. 7. Escuchas y análisis
de tráfico: Un enemigo puede obtener información sensible
monitoreando el tráfico de la red. Puede ser: la estrategia de
negocio de la empresa de servicios públicos,
información sobre precios futuros, estructura de control de la red
y uso de la energía. Más tarde estos datos pueden ser utilizados
para actos hostiles.

7.7 ALARMANTES AMENAZAS DE SCADA Y

DE LA RED INTELIGENTE
Las amenazas actuales de la Red Inteligente son muy
avanzadas técnicamente y la Red Inteligente implementada y el
SCADA están asegurados sólo por la seguridad a través del
ocultamiento. Una breve descripción de las amenazas letales y
vulnerabilidades técnicamente avanzadas se explican en las
siguientes secciones.

7.7.1 VULNERABILIDADES DE DÍA

CERO

El término día cero implica el tiempo antes de que el

desarrollador pueda elaborar y desplegar un parche para
superar el defecto. Un atacante puede crear y desplegar
malware aprovechando el fallo para atacar el sistema SCADA o
ICS. Hay muchas fallas de día cero que pueden afectar un
sistema SCADA. El desbordamiento de la pila es uno de ellos.
Este ataque puede ser lanzado tanto en los dispositivos de
campo como en los servidores. El búfer de la pila en la memoria
puede ser corrompido por un agente malintencionado, lo que
lleva a la inserción de un peligroso código ejecutable en el
programa en ejecución y, por tanto, a usurpar el control de la
planta/proceso industrial. Los ataques de día cero también
pueden ocurrir en forma de ataques DoS que sobrecargan los
recursos de la computadora. Stuxnet es un gusano informático
letal que utiliza cuatro vulnerabilidades de día cero de Windows.
Se cree que fue escrito principalmente para atacar
centrifugadoras nucleares iraníes. Su objetivo final es
interrumpir los ICS modificando programas implementados
especialmente en PLCs o RTUs para hacerlos
funcionar de la manera que el atacante pretendía y para ocultar
esos cambios a los operadores del sistema. Se cree que Stuxnet
se introduce en una red informática a través de un disco extraíble
infectado. Para esconderse mientras se propaga por la red y
realiza el objetivo final, el virus instala un rootkit de Windows
explotando cuatro vulnerabilidades de día cero. El éxito de este
virus al penetrar en el entorno del PLC muestra que las medidas
de seguridad tradicionales no son en absoluto adecuadas para
la amplia protección y seguridad de las infraestructuras críticas.

7.7.2 NO PRIORIZACIÓN DE
TAREAS

Esta es una seria falla en los sistemas operativos en tiempo real

de muchos SCADA e ICS. En ciertos sistemas operativos
incorporados, puede que no exista la característica de priorizar
las tareas. El intercambio de memoria entre tareas igualmente
privilegiadas conduce a graves problemas de seguridad. Las
características como la accesibilidad para crear un Punto de
Entrada de Objetos (OEP) en el dominio del núcleo pueden
conducir a lagunas en la seguridad. Las tareas no pertenecientes
al núcleo pueden ser protegidas de desbordamientos mediante
páginas de guardia. Pero las páginas de guardia pueden ser
pequeñas y no pueden proporcionar una protección rigurosa.
7.7.3 INYECCIÓN EN LA BASE DE
DATOS

Se pueden inyectar declaraciones de consulta perjudiciales para

explotar las vulnerabilidades de un SCADA, especialmente
cuando los datos del cliente no están debidamente filtrados. Esto
es algo de lo que se informa ampliamente en las bases de datos
basadas en SQL. Aquí el atacante envía un comando al servidor
SQL a través del servidor web e intenta revelar información
crítica de autenticación.
7.7.4 PROBLEMAS DEL PROTOCOLO DE
COMUNICACIÓN

Hoy en día, con los avances en la encriptación y autenticación,

la seguridad informática es capaz de hacer frente a los
sofisticados ciberataques y amenazas. Pero no se adoptan de
manera adecuada en SCADA y Smart Grid, especialmente
cuando el proceso se controla con la arquitectura cliente-
servidor. Anteriormente, la seguridad del SCADA no era una
preocupación importante y, por lo tanto, no se daba la relevancia
adecuada a la autenticación de los protocolos de comunicación.
Esto no significa que los métodos de autenticación y cifrado no
puedan utilizarse con estos sistemas. Es muy importante señalar
que el cifrado sólo es eficaz en la comunicación autenticada entre
entidades. Para tener una comunicación TCP/IP segura, debe
emplearse el marco de seguridad del protocolo de Internet
(IPsec). Esto ayudará a crear un canal de comunicación seguro
para el ICS. El IPsec utiliza dos protocolos para la autenticación
y el cifrado: Encapsulando la carga útil de seguridad (ESP) y el
encabezamiento de autenticación (AH). Los ataques de
Amenazas Persistentes Avanzadas (APT) que monitorean la
actividad de la red y roban datos para un ataque futuro, pueden
ser tratados efectivamente con protocolos como Syslog que
mantiene registros de seguridad que proveen un medio para
detectar intentos sigilosos de reunir información antes de
construir ataques sofisticados por actores maliciosos.

7.7.5 ATAQUES DE INTEGRIDAD

FURTIVA

Los ataques furtivos tienen como objetivo perturbar la integridad

del servicio y hacer que las redes acepten el valor de datos
falsos. Los ingenieros de seguridad han informado de la
existencia de unos antagonistas muy poderosos, dotados de un
conocimiento profundo, y de unas capacidades de disrupción
capaces de realizar ataques furtivos que evitan parcial o
totalmente los detectores de anomalías tradicionales. De hecho,
ante la severidad de un ataque la
estrategia depende de las capacidades de los enemigos para
coordinar los vectores de impacto en las señales de control y las
mediciones de los sensores.

7.7.6 ATAQUE DE
REPLICACIÓN

Son los ataques a la red en los que un atacante espía la

comunicación entre el emisor y el receptor y toma la
información autenticada. Un ejemplo típico es el robo de una
clave y luego contactar con el receptor con esa clave. En un
ataque de réplica, el atacante da pruebas de su identidad y
autenticidad. Del efecto negativo de un ataque de repetición en
un sistema de control de retroalimentación se ha descubierto
que esta estrategia de ataque se lleva a cabo en dos pasos.
Paso I El hacker registra las mediciones de los sensores
durante una cierta ventana de tiempo antes de realizar el
ataque. Paso II. El hacker sustituye las mediciones de los
sensores reales por señales previamente grabadas mientras
modifica las señales de los controles para conducir los estados
del sistema fuera de sus valores normales. Un ataque de
repetición es capaz de evitar los detectores clásicos.

7.7.7 ATAQUE DE INSERCIÓN DE DATOS

FALSOS

El SCADA distribuido, especialmente el PSS y la red inteligente,

a menudo puede operar en ambientes hostiles. Los
componentes AMI que carecen de hardware de resistencia a la
manipulación aumentan la posibilidad de ser comprometidos.
Con un AMI comprometido, el atacante puede inyectar informes
de medición falsos para interrumpir la operación del SCADA. El
objetivo del atacante es engañar al estimador de estados
inyectando cuidadosamente una cierta cantidad de datos falsos
en las mediciones de los sensores. Estos ataques se denominan
ataques de infiltración de datos falsos.
Puede interrumpir el sistema DCS y conduce a una estimación
de estado falsa que altera las operaciones del controlador
SCADA. Los ingenieros de seguridad opinan que el ataque de
introducción de datos falsos es un modelo de estado y espacio
en tiempo discreto impulsado por el ruido gaussiano.

7.7.8 ATAQUE DE DINÁMICA

CERO

En el SCADA el ataque de dinámica cero (ZDA) es uno de los

ataques más difíciles de defender, especialmente en un sistema
de retroalimentación de bucle cerrado que posee un cero
inestable, como un actuador o sensor sin límites. El hecho más
desafortunado es que es bastante poco probable que se
detecten estos ataques mediante el escrutinio de los datos o el
flujo de datos. Un atacante que tenga un conocimiento profundo
del DAS puede lanzar un ataque de dinámica cero en el
ciberespacio o inyectado en los enlaces de comunicación.A
medida que los modernos sistemas de control se implementan
en computadoras digitales utilizando mecanismos de muestreo y
retención, donde los controladores pueden ser tratados en un
marco de datos muestreados (SD), pueden generar
vulnerabilidad a los ataques furtivos debido a la inestabilidad de
los ceros de muestreo en el sistema SD.

7.7.9 ATAQUE
ENCUBIERTO

Este ataque es un ataque dirigido, pero está construido y

desplegado usando herramientas públicas. Estas están hechas
a medida y mínimamente equipadas. La estrategia del ataque
encubierto consiste en coordinar las señales de control y las
mediciones de los sensores en un ataque malintencionado
concertado. Este ataque se ejecuta en dos pasos. Paso I El
vehículo de ataque de estado puede elegirse libremente en
función de los objetivos malintencionados y los recursos
disponibles.
Paso II El factor de ataque a los sensores está diseñado de tal
manera que puede compensar los efectos del factor de ataque
de estado en las mediciones de los sensores. La estrategia de
ataque encubierto puede considerarse como el peor de los
casos debido a su capacidad de eludir los detectores de
anomalías tradicionales. Sin embargo, el ataque encubierto
necesita comprometer numerosos sensores para asegurar su
sigilo. Por lo tanto, los defensores de SCADA pueden eliminar
un ataque encubierto protegiendo algunos sensores críticos o
desplegando sensores seguros.

7.7.10 ATAQUE DE OLEADA, ATAQUE DE SESGO Y

ATAQUE GEOMÉTRICO

Los tres tipos de ataques sigilosos, es decir, el ataque de oleada,

el ataque parcial y el ataque geométrico también son importantes
y deben ser abordados por los ingenieros de seguridad
cibernética. El ataque de oleada se produce para maximizar el
daño lo antes posible, mientras que el ataque de sesgo modifica
lentamente el sistema mediante pequeñas perturbaciones
durante un largo período. El ataque geométrico integra el ataque
de oleada y el ataque de sesgo cambiando gradualmente el
comportamiento del sistema al principio y optimizando el
desastre al final.

7.8 MALWARE
SCADA
Con la automatización que utiliza el SCADA, la eficiencia y el
rendimiento de la red eléctrica y de las plantas o procesos
industriales pueden elevarse a nuevas alturas operativas, pero
aumentan la vulnerabilidad del sistema a posibles ciberataques.
Black Energy, Stuxnet, Havex, Duqu. y Sandworm son todos
ejemplos recientes de malware dirigido a los sistemas SCADA.
Los componentes AMI, especialmente los medidores inteligentes
y el
aumento de los Puntos de Acceso Externos (EAP) añadidos con
la integración de la RES, introdujeron nuevas áreas adicionales
a través de las cuales se puede lanzar un potencial ciberataque
a la red. Las actuales intrusiones de malware han dado lugar a
una importante interrupción de las operaciones de la red como la
que le ocurrió a la nación de Ucrania por el terrible malware
BlackEnergy.

7.9 OBJETIVOS PREFERIDOS DE LOS

HACKERS
Si un hacker pudiera penetrar con éxito en un sistema SCADA
o un ICS, el siguiente paso del hacker sería obtener algún
grado de control de los componentes del sistema SCADA. El
grado de control alcanzado es una función de las protecciones
vinculadas/incorporadas con cada componente del sistema, su
visibilidad para el atacante, y las capacidades e intenciones del
atacante. A continuación, se enumeran varias operaciones de
explotación que suele realizar un pirata informático mediante un
ataque malintencionado contra un sistema SCADA. 1. Obtener
acceso al sistema SCADA 2. Obtener acceso a la estación de
control maestro del SCADA 3. Comprometer a la RTU o a los
PLCs locales 4. Comprometer la estación de control principal
del SCADA 5. Obtener las contraseñas del sistema SCADA de
la Estación de Control Maestro 6. Obtener acceso a las RTUs o
a los PLCs locales 7. Falsificar la RTU y enviar datos
incorrectos a la Estación de Control Maestro 8. Falsear la
estación de control maestro y enviar datos incorrectos a una
RTU
9. Apagar la estación de control principal 10. Apagar las RTUs
de control local 11. Interrumpir las comunicaciones entre la
Estación de Control Maestro del SCADA y los RTUs y estación
y RTUs y 12. Modificar el programa de control de la RTU Estas
acciones y su relativo impacto dañino en un sistema SCADA o
DCS son los blancos preferidos de los piratas informáticos.

7.9.1 VECTOR DE ATAQUE A TRAVÉS

DE HMI

Hoy en día, dentro de las diversas soluciones SCADA, la HMI,

especialmente la HMI en lugares remotos para el monitoreo y
configuración de datos locales es el objetivo favorito y preferido
de los atacantes. El HMI actúa como un centro de control
centralizado para la gestión de la infraestructura crítica. Si un
atacante logra comprometer la HMI, se puede hacer casi
cualquier cosa a la propia infraestructura, lo que causa daños
físicos al equipo SCADA. Incluso si los atacantes deciden no
interrumpir las operaciones, todavía pueden explotar la HMI para
reunir información sobre un sistema o desactivar las alarmas y
notificaciones destinadas a alertar a los operadores del peligro
para el equipo SCADA. Muchos investigadores descubrieron que
la mayoría de las vulnerabilidades del HMI se clasificaban en
cuatro categorías, a saber: corrupción de la memoria, gestión de
credenciales, falta de autenticación/autorización y defectos
inseguros, e inserción de códigos. Todas ellas pueden
prevenirse mediante prácticas de desarrollo seguras. También
se observó que el tiempo medio necesario entre la divulgación
de una Iniciativa de Día Cero (ZDI) de un proveedor de SCADA
y el tiempo para la liberación de un parche tarda hasta 150 días.
Este retraso en la liberación de los parches debe ser minimizado
por los vendedores de la HMI prestando especial
atención y respondiendo en consecuencia. Además, los
investigadores de la ZDI deben comenzar con técnicas básicas
de "fuzzing" para encontrar nuevas vulnerabilidades en los
HMIs. Mejor buscar nuevas asociaciones de archivos durante la
instalación, para ayudar en la "fuzzing", ya que muchos de los
formatos de archivo están abiertos. Otras soluciones de HMI y
SCADA harían bien en adoptar las prácticas seguras de ciclo
de vida implementadas por los desarrolladores de sistemas
operativos y de aplicaciones en la última década. Tomando
medidas simples como la auditoría para el uso de API
prohibidas, los vendedores pueden hacer que sus productos
sean más resistentes a los ataques. Los ingenieros de SCADA
también deben esperar que sus productos sean utilizados en
formas que no tenían intención de hacerlo. Hoy en día, los
ingenieros de automatización, los profesionales de la seguridad
de los equipos físicos y los vendedores de SCADA están
trabajando juntos para encontrar y reportar errores en la HMI y
desarrollar parches para que la seguridad de la HMI continúe
mejorando. Aunque nunca se puede lograr un sistema
completamente seguro, con robustas tácticas de investigación y
desarrollo, los ingenieros de seguridad pueden mantener las
luces encendidas mientras la seguridad sea una necesidad, de
lo contrario la Interfaz Hombre-Máquina puede convertirse en
una Interfaz Hacker-Máquina.

7.9.2 PROBLEMAS DE SEGURIDAD DEL CENTRO DE

CONTROL DE SCADA

La arquitectura del centro de control debe ser diseñada con la

máxima seguridad y con centros de recuperación de desastres
adecuados. La entrada y salida segura debe ser garantizada con
los dispositivos de campo, IED, medidores inteligentes, otros
centros de control, etc. Normalmente, los dispositivos de campo
y los medidores inteligentes se comunican con el servidor del
Front End
de Comunicación (CFE) a través de VPN, preferentemente
SSL/VPN. Obviamente el CFE debe tener la capacidad de
manejar datos muy grandes, y en cierta situación actuar como
un Servidor de Gestión de Datos con capacidades de servidor
Web. El procesador del Front End del servidor CFE debe tener
una capacidad de procesamiento muy alta y debe ser
redundante en caliente. Hoy en día es una práctica general que
la arquitectura del centro de control esté lógicamente
segmentada en varias zonas y que las redes críticas estén
aisladas. La transferencia de datos entre estas zonas es
generalmente a través de cortafuegos con una configuración
adecuada. Una de las prácticas generalmente recomendadas
es separar la red SCADA de la red corporativa. La naturaleza
del tráfico de estas dos redes debería ser diferente. El acceso a
Internet, el FTP, el correo electrónico y el acceso remoto se
permitirán normalmente en la red corporativa, pero no en la red
SCADA. Es posible que en la red corporativa no existan
procedimientos rigurosos de control de cambios en el equipo, la
configuración y los programas informáticos de la red. Si el
tráfico de la red SCADA se lleva a cabo en la red corporativa,
podría ser interceptado o ser objeto de un ataque de
denegación de servicio. Al tener redes separadas, los
problemas de seguridad y rendimiento en la red corporativa no
podrían afectar a la red SCADA. Una arquitectura típica de
centro de control del sistema de energía SCADA que tiene un
Firewall con DMZ entre la red corporativa y la red de control se
muestra en la siguiente figura:
El uso de cortafuegos con la capacidad de establecer una zona
desmilitarizada entre las redes corporativas y las de control.
Cada DMZ contiene uno o más componentes críticos, como el
histórico de datos, el punto de acceso inalámbrico, o sistemas
de acceso remoto y de terceros. En efecto, el uso de un
cortafuegos con capacidad de DMZ permite la creación de una
red intermedia. La creación de una DMZ requiere que el
cortafuegos ofrezca tres o más interfaces, en lugar de las
típicas interfaces públicas y privadas. Una de las interfaces está
conectada a la red corporativa, la segunda a la red de control, y
las restantes interfaces a dispositivos compartidos o inseguros
como el servidor de historiales de datos o los puntos de acceso
inalámbrico en la red DMZ. Las soluciones no basadas en
cortafuegos generalmente no proporcionarán un aislamiento
adecuado entre las redes de control y las redes corporativas.
Las soluciones de dos zonas (sin DMZ) son marginalmente
aceptables, pero sólo deben desplegarse con
extremo cuidado. Las arquitecturas de segregación de la red de
control y la red corporativa más seguras, manejables y
escalables se basan típicamente en un sistema con al menos
tres zonas, incorporando una DMZ.

7.9.3 USO DE UNIDADES FLASH Y SEGURIDAD DE LOS

NODOS FINALES (ENS)

Los ataques a los USB se están volviendo más sofisticados,

afectando a toda clase de dispositivos USB en lugar de sólo al
almacenamiento. Como los USB se han convertido en un
método común para compartir fácilmente información
localmente entre dispositivos, se han convertido en una fuente
común de ciber compromiso del sistema de información. De
acuerdo con las directrices CIP de NERC, se desaconseja
encarecidamente el uso de puertos USB o de tipo USB porque
un puerto USB no es inmune a la protección contra el acceso
no autorizado. Estaría indefenso frente a la conexión de
módems, cables de red que tienden puentes entre las redes o
la inserción de un pen drive USB infectado. La protección
cibernética para los puertos USB puede ser aplicada, sin
embargo, a menudo es costosa y no es cien por ciento efectiva.
No hay ningún requisito esencial para utilizar un USB en lugar
de otras interfaces estándar y más seguras como las de
Ethernet y los puertos serie. Algunos de los métodos comunes
para proteger los puertos USB son: 1. Deshabilitar (mediante
software) los puertos físicos 2. Desanimar el uso de un puerto
físico con una cubierta o tapa grande 3. Obstrucción física del
puerto mediante cerraduras extraíbles Estas medidas son
ejemplos de métodos de defensa a fondo, pero las directrices
de la CIP reconocen que estos enfoques de control pueden ser
fácilmente eludidos. Tampoco es raro que un empleado o un
contratista autorizado comprometa inadvertidamente un
dispositivo simplemente conectando un teléfono inteligente
infectado para cargar la batería. Las memorias USB plantean
dos grandes desafíos a la ciberseguridad de las infraestructuras
críticas: 1. La facilidad de robo de datos debido a su pequeño
tamaño y la transportabilidad, y 2. Compromiso del sistema a
través de infecciones de la computadora: virus, malware y
spyware. Es un hecho bien conocido que un dispositivo
periférico portátil compatible con USB puede desencadenar un
ciberataque masivo, incluso cuando el sistema informático
atacado está aislado y protegido del exterior con cortafuegos y
otros tipos de dispositivos de seguridad.
7.9.4
BADUSB

BadUSB es un USB que incluye firmware además de espacio

en el disco. Es inherentemente un microcontrolador con
registros de memoria de almacenamiento grabables. Este
firmware, sin embargo, puede ser incrustado con códigos
ejecutables que no pueden ser verificados por aplicaciones de
software de seguridad de terceros, ya que el firmware no es de
código abierto. Esta falla en los USB abre la puerta a la
modificación del firmware de los USB, lo que puede hacerse
fácilmente desde el interior del sistema operativo, y ocultar el
malware de una manera que se hace casi imposible de
detectar. La falla es aún más potente porque el formateo
completo o la eliminación del contenido de un dispositivo USB
no eliminará el código malicioso, ya que está incrustado en el
firmware. Los parches hechos para BadUSB han sido en gran
parte ineficaces y una solución está a años de distancia. De
hecho, hasta la fecha, no ha habido una solución defensiva
práctica contra los ataques de BadUSB y expone las
vulnerabilidades fundamentales de los privilegios ilimitados en
los dispositivos USB.
Bajo esta situación, el diseño y la implementación de PSS y
Smart Grid debe ser de tal manera que elimine completamente
la necesidad de un puerto USB es aconsejado y recomendado
en el interés de operaciones fiables y seguras.

7.10 SISTEMAS DE DETECCIÓN DE

INTRUSOS (IDS) SCADA
Un sistema de detección de intrusos (IDS) es típicamente una
combinación apropiada de software y hardware o sólo de
software que es capaz de detectar, analizar, mantener un
registro y reportar los eventos maliciosos que ocurren en una
red o en una computadora central. Los IDS también son
capaces de escanear para detectar puertos abiertos u otros
medios de entrada en la red o la acción de la computadora si el
IDS es activo. Pero la mayor limitación es la incapacidad de
detectar los nuevos ataques ya que su firma no está en la base
de datos. IDS basado en anomalías: monitoriza
cuidadosamente el flujo de datos de la red y del host y toma
muestras estadísticas para desarrollar un perfil de las
actividades normales en un sistema. Si estas estadísticas de la
red o del host se desvían de la costumbre, normalmente indica
que hay un ataque en curso. Las estadísticas utilizadas para
caracterizar el comportamiento normal incluyen la tasa de
utilización de la CPU y el número de intentos de inicio de sesión
fallidos. La mayor ventaja de estos IDS es que puede detectar
nuevos ataques, pero puede ser astutamente engañado con
ataques que no cambian significativamente los parámetros que
se están midiendo. Además, un IDS basado en anomalías
genera muchas falsas alarmas, ya que cierta actividad genuina
hace que los parámetros estadísticos cambien lo suficiente
como para disparar una alarma de ataque.
IDS de respuesta activa. Toma alguna forma de acción en
caso de un ataque. Las respuestas típicas se describen a
continuación. -Explorar la situación y reunir la máxima
información que sería pertinente para identificar el ataque. -
Bloquear los puertos de red y los protocolos utilizados por el
presunto atacante. -Cambiar las listas de acceso de los routers
y cortafuegos para bloquear los mensajes de la dirección IP del
atacante dudoso. IDS de respuesta pasiva: Proporciona
información sobre un ataque al ingeniero de seguridad en
cuestión, que puede entonces decidir el curso de acción
adecuado. El ingeniero de seguridad puede recibir una
notificación en forma de llamada, un mensaje de correo
electrónico, una alerta en la pantalla de una terminal de
computadora o un mensaje a una consola de protocolo simple
de gestión de redes (SNMP). La alerta puede incluir la dirección
IP de origen del ataque, la dirección IP del objetivo del ataque y
el resultado de este. Analizar la información del IDS en forma
de bloque después de que se produzca un ataque en un
procesamiento por lotes o basado en intervalos. En este caso,
el usuario no puede intervenir durante un evento ya que no se
trata de una operación en tiempo real. El modo batch era
común en las primeras implementaciones de IDS porque sus
capacidades no permitían la adquisición ni el análisis de datos
en tiempo real.

7.11 ARQUITECTURA DE DEFENSA

PROFUNDA
Otra arquitectura de centro de control SCADA que ganó mucha
popularidad con la incorporación de la moderna tecnología de
firewall es la arquitectura de defensa profunda. Un solo producto,
tecnología o solución de seguridad no puede proteger
adecuadamente un SCADA por sí misma. Se desea una
estrategia de múltiples capas que involucre dos (o más)
mecanismos de seguridad
superpuestos diferentes, una técnica también conocida como
defensa a fondo, para que el impacto de una falla en cualquiera
de los mecanismos se minimice. Una estrategia de arquitectura
de defensa profunda incluye el uso de cortafuegos, la creación
de zonas desmilitarizadas, capacidades de detección de
intrusos junto con políticas de seguridad efectivas, programas
de entrenamiento y mecanismos de respuesta a incidentes.
Además, una estrategia efectiva de defensa a fondo requiere un
entendimiento profundo de los posibles vectores de ataque en
un SCADA. Estos incluyen: 1. Puertas traseras y agujeros en el
perímetro de la red, 2. Vulnerabilidades en los protocolos
comunes, 3. Ataques a los dispositivos de campo, 4. Ataques a
la base de datos, y 5. Secuestros de comunicaciones y ataques
de " Man in the middle". La siguiente figura muestra una
estrategia con arquitectura de defensa SCADA profunda y
mejoramiento de la ciber seguridad de los sistemas de control:

Los sistemas de control de la seguridad cibernética utilizando

estrategias de defensa profunda para las organizaciones utilizan
redes de sistemas de control que mantienen una arquitectura de
información de varios niveles que requiere:
1. Mantenimiento de varios dispositivos de campo, recolección
de telemetría y/o sistemas de procesos a nivel industrial,
2. Acceso a las instalaciones a través de un enlace de datos
remoto o un módem, y
3. Servicios de cara al público para un cliente u operaciones
corporativas.
Esta estrategia incluye cortafuegos, el uso de zonas
desmilitarizadas y capacidades de detección de intrusos en toda
la arquitectura del ICS. La utilización de varias zonas
desmilitarizadas en la figura anterior proporciona la capacidad
añadida de separar las funcionalidades y los privilegios de
acceso y ha demostrado ser muy
eficaz en la protección de grandes arquitecturas compuestas por
redes con diferentes mandatos operativos. En las implantaciones
de detección de intrusos se aplican diferentes conjuntos de
reglas y firmas únicas para cada dominio que se supervisa.

7.12 DESPLIEGUE DE CORTAFUEGOS Y

POLÍTICAS DE CORTAFUEGOS
Una vez que la arquitectura de defensa profunda está en su
lugar, comienza el trabajo de determinar exactamente qué
tráfico debe ser permitido a través de los cortafuegos,
configurando los cortafuegos para negar todo, excepto el tráfico
absolutamente necesario para las necesidades de negocio de
cada organización. Los ingenieros de seguridad de la
organización deben ser conscientes de los requisitos de flujo de
datos de las empresas y los impactos de seguridad de permitir
que el tráfico pase. Un ejemplo típico es que muchas
organizaciones consideraron la posibilidad de permitir el tráfico
de SQL a través del cortafuegos, tal como se requiere para un
negocio, para muchos servidores de historiales de datos.
Lamentablemente, SQL también fue el vector del gusano
Slammer. Muchos protocolos importantes utilizados en el
mundo industrial, como HTTP, FTP, OPC/DCOM, Ethernet/IP y
MODBUS/TCP, tienen importantes vulnerabilidades de
seguridad. En las siguientes secciones se resumen algunos de
los puntos clave sobre el despliegue del cortafuegos para el
SCADA y las redes de control de procesos. Cuando se instala
un único cortafuegos de dos puertos sin una DMZ para
servidores compartidos, se debe tener especial cuidado con el
diseño de las reglas. Como mínimo, todas las reglas deben ser
reglas con estado que sean tanto específicas de la dirección IP
como del puerto (aplicación). La parte de las direcciones de las
reglas debería restringir el tráfico entrante a un conjunto muy
pequeño de dispositivos compartidos (por ejemplo, el
historiador de datos) en la red de control desde un conjunto
controlado de
direcciones en la red corporativa. No se recomienda permitir que
ninguna dirección IP de la red corporativa acceda a los
servidores de la red de control. Además, los puertos permitidos
deben restringirse cuidadosamente a protocolos relativamente
seguros como el Protocolo de Transferencia de Hipertexto
Seguro (HTTPS). Permitir que HTTP, FTP o cualquier protocolo
SCADA no encriptado cruce el cortafuegos es un riesgo para la
seguridad debido a la posibilidad de que el tráfico se esfume y
se modifique. Deben añadirse reglas para denegar la
comunicación entrante con la red de control. Las reglas deberían
permitir que los dispositivos internos de la red de control
establezcan conexiones fuera de la red de control de la manera
más segura posible. Por otra parte, si se utiliza la arquitectura
DMZ, entonces es posible configurar el sistema de manera que
ningún tráfico vaya directamente entre la red corporativa y la red
de control. Con algunas excepciones especiales que se
mencionan a continuación, todo el tráfico de ambos lados puede
terminar en los servidores de la DMZ. Esto permite una mayor
flexibilidad en los protocolos permitidos a través del cortafuegos.
Por ejemplo. MODBUS/TCP podría utilizarse para comunicarse
desde las RTUs/IEDs al historiador de datos, mientras que HTTP
podría utilizarse para la comunicación entre el historiador y los
clientes de la empresa. Ambos protocolos son intrínsecamente
inseguros, pero en este caso, pueden ser utilizados con
seguridad porque ninguno de ellos se cruza realmente entre las
dos redes. Una extensión de este concepto es la idea de utilizar
protocolos desarticulados en todas las redes de control para las
comunicaciones de la red empresarial. Es decir, si se permite un
protocolo entre la red de control y la DMZ, entonces no se
permite explícitamente entre la DMZ y la red corporativa. Este
diseño reduce en gran medida la posibilidad de que un gusano
como Slammer llegue a la red de control, ya que el gusano
tendría que utilizar dos exploits diferentes en dos protocolos
diferentes.
Un área de considerable variación en la práctica es el control
del tráfico saliente de la red de control, que podría representar
un riesgo significativo si no se gestiona. Un ejemplo es el
software de caballo de Troya que utiliza el túnel HTTP para
explotar las reglas de salida mal definidas. Por lo tanto, es
importante que las reglas de salida sean tan estrictas como las
de entrada. El informe técnico contiene algunos ejemplos de
directrices que ayudan a aclarar esto. A continuación, se
describe un resumen de las reglas de salida y entrada
preferidas para el flujo seguro de datos. 1. El tráfico de entrada
al sistema de control debe ser bloqueado. 2. El acceso a los
dispositivos dentro del sistema de control debe ser a través de
una DMZ, 2. El tráfico de salida a través del cortafuegos de la
red de control debe limitarse a las comunicaciones esenciales
solamente, y 3. Todo el tráfico de salida de la red de control a la
red corporativa debe ser de origen y destino restringidos por el
servicio y el puerto. Además de estas reglas, el cortafuegos
debe estar configurado con un filtro de salida para evitar que los
paquetes de IP falsificados salgan de la red de control o de la
DMZ. En la práctica, esto se logra verificando las direcciones IP
de origen de los paquetes salientes con la dirección de interfaz
de red respectiva del cortafuegos. La intención es evitar que la
red de control sea la fuente de comunicaciones falsificadas, que
a menudo se utilizan en los ataques DoS. Por lo tanto, los
cortafuegos deberían estar configurados para reenviar
paquetes IP sólo si esos paquetes tienen una dirección IP de
origen correcta para la red de control o las redes DMZ. Por
último, se debería desalentar enérgicamente el acceso a
Internet por parte de los dispositivos de la red de control. Por lo
general, los cortafuegos desplegados en el PSS vienen con la
configuración por defecto que se describe a continuación. Sin
embargo, los ingenieros de instalación y seguridad confirman el
conjunto de reglas de los
cortafuegos sin ningún compromiso, de lo contrario puede ser
catastrófico. 1. El conjunto de reglas de la base debe negarse a
todos, no permitir ninguno. 2. Los puertos y servicios entre el
entorno de la red de control y la red corporativa deben
habilitarse y los permisos deben concederse según cada caso
concreto. Debe haber una justificación comercial documentada
con un análisis de riesgos y una persona responsable de cada
flujo de datos entrante o saliente permitido. 3. Todas las normas
de permiso deben ser específicas para la dirección IP y para el
puerto TCP/UDP, y deben ser declaradas si es apropiado. 4.
Todas las reglas deben restringir el tráfico a una dirección IP
específica o a un rango de direcciones. 5. Se debe evitar que el
tráfico transite directamente de la red de control a la red
corporativa. Todo el tráfico debe terminar en la DMZ. 6.
Cualquier protocolo permitido entre la red de control y la DMZ
no debe ser explícitamente permitido entre la DMZ y las redes
corporativas (y viceversa). 7. Todo el tráfico saliente de la red
de control a la red corporativa debe ser de origen y destino
restringido por el servicio y el puerto. 8. Los paquetes salientes
de la red de control o de la DMZ deben permitirse sólo si esos
paquetes tienen una dirección IP de origen correcta que se
asigna a la red de control o a los dispositivos DMZ. 9. No se
debe permitir que los dispositivos de la red de control accedan
a Internet. 10. Las redes de control no deben estar conectadas
directamente a Internet, aunque estén protegidas por un
cortafuegos.
11. Todo el tráfico de gestión del cortafuegos debe realizarse en
una red de gestión separada y segura o en una red cifrada con
autenticación de dos factores. El tráfico también debe restringirse
mediante la dirección IP a estaciones de gestión específicas.
Estas son sólo directrices; por lo tanto, se requiere una
evaluación atenta de cada entorno de control antes de finalizar y
aplicar el conjunto de reglas del cortafuegos.

7.13 SOLUCIONES DE SEGURIDAD

PROPUESTAS
Las soluciones de seguridad desarrolladas para las redes de TI
tradicionales no son efectivas en Smart Grid y PSS debido a las
grandes diferencias entre ellas. Sus objetivos de seguridad son
diferentes en el sentido de que, la seguridad en las redes de TI
tiene como objetivo hacer cumplir los tres principios de
seguridad, a saber: confidencialidad, integridad y disponibilidad,
mientras que la seguridad en las redes PSS y Smart Grid tiene
como objetivos: proporcionar seguridad humana, protección de
equipos y líneas eléctricas, funcionamiento del sistema, etc.
Además, la arquitectura de seguridad de las redes de TI es
diferente a la de la red de distribución, ya que la seguridad en las
redes de TI se logra proporcionando más protección en el centro
de la red donde se guardan los datos, mientras que la protección
en las redes de automatización se realiza tanto en el centro de la
red como en los nodos finales o en el borde. Su topología
subyacente también es diferente, ya que las redes de TI utilizan
un conjunto bien definido de sistemas operativos y protocolos,
mientras que las redes de Smart Grid utilizan sistemas operativos
de múltiples propietarios y los protocolos son específicos de los
proveedores. Por lo tanto, las métricas de Calidad de Servicio
(QoS) son diferentes en el sentido de que es aceptable en las
redes de TI para reiniciar los dispositivos en caso de fallo o
actualización, mientras que esto no es en absoluto aceptable en
las redes PSS y Smart Grid ya que los servicios deben
estar disponibles 24x7, Estas grandes diferencias entre los
objetivos de seguridad de las redes de TI y de las redes de
grilla requieren la necesidad de nuevas soluciones de seguridad
específicamente para la red Smart Grid. El desarrollo de
soluciones de seguridad para la Smart Grid se enfrenta a
muchos desafíos y estos son: 1. Algunos componentes utilizan
sistemas operativos propios para controlar la funcionalidad que
no tienen características de seguridad, 2. La mayor parte de la
red de PSS heredada fue diseñada sin tener en cuenta la
seguridad, 3. La seguridad debe integrarse con los sistemas
existentes sin reducir la latencia ni la eficiencia ni el
rendimiento, 4, El acceso remoto a los dispositivos de red debe
ser monitoreado y controlado, y 5. Los nuevos protocolos
seleccionados deberían tener la capacidad de incorporar
futuras soluciones de seguridad.

7.13.1 SEGURIDAD DE LA
AMI

La implementación de una red inteligente sin la seguridad

adecuada del AMI podría resultar en inestabilidad de la red,
pérdida de información privada, fraude en los servicios públicos
y acceso no autorizado a los datos de consumo de energía. Sin
la seguridad adecuada, los beneficios de la comunicación
bidireccional de confianza entre los consumidores y la empresa
de servicios públicos, incluida la recopilación segura de
información para el análisis preciso de grandes datos, no pueden
materializarse. Como ya se ha explicado, el AMI facilita la gestión
de la RD mediante la recogida de datos de los medidores
inteligentes en toda la red. Por lo tanto, la ausencia de seguridad
del AMI puede causar daños potenciales contra las
infraestructuras y la privacidad de la Red Inteligente por parte de
los atacantes.
La integración de un adecuado Control de Acceso Basado en
Roles (RBAC) con el sistema MDM es uno de los medios para
asegurar los datos de los medidores inteligentes". De otra
manera, la seguridad de los datos puede lograrse a través de
una adecuada asignación de roles y permisos para que los
datos de los medidores" sean accedidos sólo por usuarios
autorizados. Siendo el medidor inteligente el dispositivo crítico,
los siguientes vectores de amenaza relacionados con los
medidores inteligentes deben ser abordados con la mayor
importancia. 1. Normalmente, todos los medidores inteligentes
tienen un puerto de comunicación óptica con conectividad
Ethernet al sistema de cabecera. Los atacantes pueden
descifrar la contraseña, reconfigurar el software del medidor
inteligente y utilizarlo para un aprovechamiento furtivo. 2. Como
no es necesario asegurar siempre la ubicación física del
medidor inteligente, los atacantes pueden lanzar ataques físicos
y leer el firmware, la configuración del sistema y las
credenciales del sistema. Estos datos también pueden ser
utilizados por los atacantes para obtener el control del acceso
remoto. 3. La conectividad de la cabecera del medidor
inteligente es usualmente un enlace de fibra óptica a través de
VPN. Si la encriptación de los datos es débil, los atacantes
pueden romper y desencriptar los datos dentro de la red de
comunicación. Este ataque proporciona el potencial de
comprometer otros dispositivos en la red de comunicación. Las
técnicas de mitigación de AMI incluyen proporcionar una fuerte
encriptación para prevenir la divulgación pública de las
vulnerabilidades del medidor inteligente, prestando la máxima
atención para mantener en secreto las credenciales y los
materiales clave. Además, los sistemas de la cabecera deben
mantenerse en secreto físicamente e impedir la infección de
malware.
Los atacantes internos, como los empleados descontentos y
malintencionados pueden enviar comandos erróneos para
desconectarse a través de la red de comunicación a los
medidores inteligentes y pueden causar un corte de energía
debido a los interruptores de control remoto dentro del medidor
inteligente. Por lo tanto, es esencial una estrecha vigilancia y una
formación adecuada para evitar estas situaciones.

7.13.2 HACER LA RED INTELIGENTE MÁS INTELIGENTE

QUE LOS CIBERATAQUES

Garantizar la seguridad de la Red Inteligente puede lograrse,

haciendo que la seguridad de la Smart Grid sea más inteligente
que los ciberataques a la misma. Para lograr esto, los expertos
en seguridad cibernética sugieren las siguientes acciones
específicas, que se adoptan de manera general. Ciertamente,
sólo una persona valiente y con corazón puede implementar
estos desafiantes requerimientos. 1. Realizar un análisis de
riesgo exhaustivo para evaluar el riesgo y la necesidad de cada
conexión a la red SCADA y desarrollar una comprensión
completa de todas las conexiones a la red SCADA, y cuán bien
están protegidas estas conexiones, especialmente para
identificar y evaluar los siguientes tipos de conexiones. 1.1.
Redes internas de área local y de área amplia, incluidas las
redes comerciales, 1.2. La Internet, 1.3. Dispositivos de red
inalámbrica, incluyendo enlaces satelitales, 1.4. Modem o
conexiones telefónicas, y 1.5. Conexiones con socios
comerciales, proveedores o agencias reguladoras.
2. Aislar estrictamente la red del PSS de otras conexiones de
red en la medida de lo posible. Cualquier conexión a otra red
introduce riesgos de seguridad ya que puede añadir un EAP.
Además, si la conexión crea un camino desde o hacia Internet,
abre un canal hacia la red pública que requiere un riguroso
cortafuegos con un conjunto de reglas de firewall inflexibles.
Esto requiere un nivel muy alto de experiencia. Además, las
conexiones directas con otras redes pueden permitir que se
pierda información importante. Por lo tanto, el aislamiento de la
red PSS debe ser un objetivo primordial para tener una
protección cibernética infalible. Estrategias como la utilización
de zonas desmilitarizadas (DMZ) y el almacenamiento de datos
pueden facilitar la transferencia segura de datos entre redes.
Sin embargo, las DMZ deben diseñarse e implementarse muy
acertadamente para evitar la introducción de riesgos
adicionales por medio de una configuración inadecuada. 3.
Llevar a cabo pruebas de penetración o análisis de
vulnerabilidad a todas las conexiones sospechosas y externas a
la Red Inteligente para evaluar los niveles de protección
asociados a estas vías. 4. Utilizar esta información en conjunto
con los procesos de gestión de riesgos para desarrollar una
política de seguridad y una estrategia de protección robusta
para cualquier camino hacia la Red Inteligente o las redes PSS.
Dado que la red PSS es tan segura como su punto de conexión
más débil, es esencial implementar cortafuegos, sistemas de
detección de intrusos (IDS) y otras medidas de seguridad
apropiadas en cada punto de entrada, especialmente en los
nodos finales y en los EAP. Configurar los cortafuegos con un
conjunto de reglas apropiadas para prohibir estrictamente el
acceso desde y hacia la red de PSS. Colocar estratégicamente
los IDS sin comprometer la eficiencia, especialmente la latencia
en cada punto de entrada, para alertar al personal de seguridad
sobre posibles violaciones de la seguridad de la red.
4, los servidores de control de PSS construidos con sistemas
operativos de código abierto pueden estar expuestos a ataques
a través de servicios de red por defecto. En la medida de lo
posible, elimine o inutilice los servicios no utilizados para
reducir el riesgo de ataque directo, especialmente cuando las
redes del PSS están interconectadas con otras redes. No
permitir el servicio o la característica en una red PSS sin una
evaluación completa del riesgo de las consecuencias. Además,
trabaje en estrecha colaboración con los proveedores de PSS
para identificar las configuraciones seguras y coordinar todos y
cada uno de los cambios en los sistemas operativos para
garantizar que la eliminación o la desactivación de los servicios
no cause un tiempo de inactividad, interrupción del servicio o
pérdida de apoyo. 5. Algunos PSS utilizan protocolos exclusivos
y patentados para las comunicaciones entre los dispositivos de
campo y los servidores. A menudo la seguridad de los PSS se
basa únicamente en el secreto de esos protocolos.
Lamentablemente, los protocolos oscuros proporcionan muy
poca seguridad real. No confíe en los protocolos propietarios o
en los ajustes de configuración predeterminados de fábrica para
proteger el sistema. Además, exija a los proveedores que
revelen cualquier puerta trasera o interfaces de proveedores al
PSS, y espere que proporcionen sistemas que sean capaces de
ser asegurados. 6. Los antiguos PSS no tienen ningún tipo de
seguridad. Los propietarios de PSS deben insistir en que su
proveedor de sistemas implemente características de seguridad
en forma de parches o actualizaciones del producto. Algunos
dispositivos PSS más nuevos se envían con características de
seguridad básicas, pero éstas suelen estar desactivadas para
asegurar la facilidad de instalación. Analice cada dispositivo de
PSS para determinar si existen características de seguridad.
Además, las configuraciones de seguridad predeterminadas de
fábrica, como en los cortafuegos de las redes
informáticas, suelen estar configuradas para proporcionar la
máxima utilidad, pero la mínima seguridad. Establezca todas
las características de seguridad para proporcionar el máximo
nivel de seguridad. Permitir configuraciones por debajo del nivel
máximo de seguridad sólo después de una evaluación completa
de los riesgos de las consecuencias de la reducción del nivel de
seguridad. 7. En los casos en que existan puertas traseras o
conexiones de proveedores en los sistemas PSS, se debe
implementar una autenticación fuerte para garantizar la
seguridad de las comunicaciones. Los módems y las redes
inalámbricas y alámbricas utilizadas para las comunicaciones y
el mantenimiento representan una vulnerabilidad significativa
para la red SCADA y los sitios remotos. El éxito de los ataques
de marcación o de conducción de guerra podría permitir a un
atacante eludir todos los demás controles y tener acceso
directo a la red o a los recursos del PSS. Para reducir al mínimo
el riesgo de esos ataques, hay que desactivar el acceso
entrante y sustituirlo por algún tipo de sistema de devolución de
llamada. 8. Para poder responder eficazmente a los
ciberataques, establecer una estrategia de detección de
intrusos que incluya la alerta a los administradores de la red de
actividades de red malintencionadas originadas en fuentes
internas o externas. Es esencial que se apliquen
procedimientos de respuesta a incidentes para permitir una
reacción eficaz a cualquier ataque. Para complementar la
vigilancia de la red, es necesario permitir el registro de todos los
programas y los registros del sistema de auditoría diariamente
para detectar actividades sospechosas lo antes posible. 9. Las
auditorías técnicas de los dispositivos y redes del PSS son
fundamentales para la eficacia continua de la seguridad. Se
dispone de muchos instrumentos de seguridad comerciales y
de código abierto que permiten a los administradores de
sistemas realizar auditorías de sus sistemas/redes para
identificar los servicios activos,
el nivel de parches y las vulnerabilidades comunes. El uso de
estas herramientas no resolverá los problemas sistémicos, pero
eliminará las vías de menor resistencia que un atacante podría
explotar. Analizar las vulnerabilidades identificadas para
determinar su importancia y adoptar las medidas correctivas
que correspondan. Rastrear las acciones correctivas y analizar
esta información para identificar tendencias adicionalmente,
volver a probar los sistemas después de que se hayan tomado
las acciones correctivas para asegurar que las vulnerabilidades
fueron realmente eliminadas. Escanear activamente los
entornos no productivos para identificar y abordar los posibles
problemas. 10. Cualquier ubicación que tenga una conexión
con la red PSS o Smart Grid es un objetivo, especialmente los
sitios remotos no tripulados o no vigilados. Realizar una
encuesta de seguridad física e identificar todos los EAP en
cada instalación que tenga una conexión con el PSS. Identificar
y evaluar cualquier fuente de información, incluida la
conectividad de la red de comunicación remota que pueda ser
intervenida. Identificar y eliminar todos los puntos de falla. La
seguridad del sitio debe ser adecuada para detectar o prevenir
el acceso no autorizado. 11. Un proceso de gestión
fundamental necesario para mantener una red segura es la
gestión de la configuración. La gestión de la configuración debe
abarcar tanto las configuraciones de hardware como las de
software. Los cambios en el hardware o el software pueden
introducir fácilmente vulnerabilidades que socavan la seguridad
de la red. Se necesitan procesos para evaluar y controlar
cualquier cambio a fin de garantizar que la red siga siendo
segura. La gestión de la configuración comienza con líneas de
base de seguridad bien probadas y documentadas para
diversos sistemas. 12, Establecer un plan de recuperación de
desastres que permita una rápida recuperación de cualquier
emergencia (incluido un ataque cibernético). Las copias de
seguridad de los sistemas son una parte
esencial de cualquier plan y permiten la rápida reconstrucción
de la red. Se pueden llevar a cabo ejercicios rutinarios de
planes de recuperación en caso de desastre para asegurar que
funcionen y que la persona esté familiarizada con ellos. Realice
los cambios adecuados en los planes de recuperación en caso
de desastre sobre la base de las enseñanzas extraídas de los
ejercicios. 13. Adoptar la estrategia de defensa profunda. La
defensa profunda debe considerarse en una etapa temprana de
la fase de diseño del proceso de desarrollo, y debe ser una
consideración integral en todas las decisiones técnicas
relacionadas con la red. Deben evitarse los puntos únicos de
fallo, y la defensa de la ciberseguridad debe ser escalonada
para limitar y contener el impacto de cualquier incidente de
seguridad. 7.13.3 ARQUITECTURA BASADA EN ZONAS El
empleo de la arquitectura basada en zonas es uno de los
medios para gestionar las diferentes partes de la red y
proporciona protección. Estas zonas pueden ser categorizadas
como: operaciones de clientes, negocios, comunicación y
sistemas de control. Cada zona está compuesta
independientemente de dispositivos de campo, sistemas,
medios de comunicación y centros de datos que sirven a las
funciones operativas específicas de esa zona. La
implementación de un conjunto de características de seguridad
comunes a todas las zonas y de características de seguridad
requeridas explícitamente para esa zona puede formar un
sistema de seguridad eficaz, modular y segmentado. Se
sugieren como mínimo las siguientes zonas modulares de
seguridad. 1. Zona de seguridad de operaciones de clientes, 2.
Zona de seguridad corporativa, y 3. Zona de seguridad de
sistemas de comunicación y control Zona de seguridad de
operaciones del cliente: La zona de seguridad de operaciones
del cliente contiene dispositivos y procesos que
extienden la gestión de la energía a los clientes. Define todas
las funcionalidades del AMI. Para proporcionar seguridad, el
acceso a los sistemas domésticos y a los datos recogidos por
AMI debe limitarse a las personas y dispositivos autorizados.
Los sistemas de administración de energía de los clientes
deben garantizar la integridad de los datos de comandos y
medidores, autenticar los dispositivos y proteger la red de
aparatos comprometidos. Zona de seguridad corporativa: La
zona de seguridad corporativa incluye todas las características
y funciones de la zona de seguridad de las operaciones de los
clientes, además de la seguridad de las funciones de TI vitales
para un negocio, como el correo electrónico, Internet, telefonía,
mensajería y una amplia variedad de aplicaciones corporativas.
Para cumplir estos requisitos, deben aplicarse políticas de
seguridad coherentes en toda la línea de productos de la red
inteligente. Zona de seguridad de los sistemas de
comunicación y control: La zona de seguridad de los
sistemas de comunicación y control define los procesos
utilizados para gestionar el encaminamiento de la energía
desde la planta de generación hasta el consumidor. Contiene
centros de datos involucrados en la generación, transmisión y
distribución de energía, junto con dispositivos finales
inteligentes para controlar el flujo de energía y asegurar la
fiabilidad de la red. La información recopilada y procesada aquí
apoya el mantenimiento de los equipos, la solución de
problemas, la capacidad de carga y el reencaminamiento de la
energía en caso de apagones. Para proteger la integridad de
los datos y el control de la telemetría, las empresas de servicios
públicos deben garantizar la autenticación de las personas y los
dispositivos, la verificación de la salud de las computadoras, la
correlación de los datos de las alarmas con otros sensores para
evitar falsos positivos, el cumplimiento de las normas y permitir
el análisis pericial. La encriptación de datos, la detección y
prevención de intrusiones y el intercambio seguro de
información entre varios centros de datos son fundamentales. A
medida que las empresas de servicios públicos se transforman
en redes inteligentes, necesitan una base de redes IP
convergentes, principios de seguridad comprobados, equipos
de redes líderes en la industria y software con capacidades de
seguridad integradas para construir redes seguras de extremo a
extremo. La madurez, la fiabilidad y el éxito de estos productos
y servicios pueden acortar la curva de aprendizaje de los
operadores de redes y permitir a las empresas de energía
evolucionar las operaciones para cumplir con las nuevas
normas y reglamentos.

7.13.4 SEGUIR LAS NORMAS Y

DIRECTRICES

Siga estrictamente las normas y directrices de seguridad para

asegurar los requisitos de protección de la Red Inteligente sin
ningún tipo de compromiso. De hecho, ayudará a hacer la
Smart Grid más inteligente contra los ciberataques. El principal
experto en seguridad cibernética de la empresa debe estar muy
interesado en hacer cumplir los siguientes pasos sin riesgo
mientras diseña e implementa el DCS. 1. Desarrollar una
política de seguridad, 2. Establecer la seguridad física, 3.
Seguridad del perímetro de cierre, 4. Habilitar las
características de seguridad existentes, 5. Asegurar el tráfico
operativo, 6. Gestión segura del tráfico, 7. Manejar la
configuración del CS, 8. Eliminar las deficiencias de seguridad.
9. Entrenamiento continuo de seguridad, y
10. Realizar auditorías de seguridad. Además, para construir un
DCS seguro, siga estrictamente los recordatorios clave sin
ningún riesgo, como se indica y muestra en la figura:

1. Estar siempre a la defensiva, 2. Estar siempre atento a los

ciberataques, 3. Tener planes de seguridad y recuperación de
desastres, 4. Implementar la seguridad físico-cibernética sin
ningún riesgo, 5. Documentación e informes adecuados de
incidentes, intentos y ataques cibernéticos.

RESUM
EN
En este capítulo se describe cómo la seguridad del SCADA es
diferente de la seguridad de la tecnología de la información y su
importancia. Se examinan el requisito de un sistema de
comunicación abierto y la normalización, haciendo hincapié en la
seguridad. Las preocupaciones de seguridad de la
automatización de
la subestación y la arquitectura del centro de control se discuten
con soluciones. Las amenazas de malware, especialmente el
ataque del letal malware Stuxnet es una pesadilla para las
agencias de implementación de SCADA debido a los ZDV del
sistema operativo Windows. Estos vectores de ataque y las
soluciones propuestas se discuten incluyendo las amenazas y
vulnerabilidades del ICS y el sistema de energía SCADA con
varios tipos de ataques y técnicas de mitigación también se
discuten. También se han elaborado varias propuestas de los
ingenieros de seguridad para hacer que el sistema eléctrico
automatizado sea más inteligente que los ciberataques.